CVE-2026-22704 - haxcms-php 11.0.6 存储型XSS导致账户接管
概述
漏洞时间线
描述
HAX CMS是一个用于管理微站点集合的平台,支持PHP或NodeJs后端。在11.0.6至25.0.0之前的版本中,HAX CMS存在一个存储型XSS(跨站脚本)漏洞,可能导致账户被接管。该问题已在版本25.0.0中修复。
信息
发布日期: 2026年1月10日,上午7:16
最后修改日期: 2026年1月10日,上午7:16
远程可利用: 是!
来源: security-advisories@github.com
受影响产品
以下产品受CVE-2026-22704漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下表也未体现该信息。
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Psu | haxcms-nodejs |
受影响厂商总数:1 | 产品总数:1
CVSS 评分
通用漏洞评分系统(CVSS)是用于评估软件和系统漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.0 | CVSS 3.1 | 高危 | 1.3 | 6.0 | security-advisories@github.com |
解决方案
- 将HAX CMS更新至版本25.0.0或更高版本,以修复存储型XSS漏洞。
- 为HAX CMS应用安全补丁。
相关公告、解决方案和工具的参考链接
这里,您将找到一个精心策划的外部链接列表,这些链接提供与CVE-2026-22704相关的深入信息、实用解决方案和有价值的工具。
CWE - 通用缺陷枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-22704与以下CWE相关联:
- CWE-79: 网页生成过程中对输入的不当中和(‘跨站脚本’)
常见攻击模式枚举与分类
常见攻击模式枚举与分类存储了攻击模式,这些模式描述了对手利用CVE-2026-22704弱点的常用属性和方法。
- CAPEC-63: 跨站脚本
- CAPEC-85: AJAX 指纹识别
- CAPEC-209: 利用MIME类型不匹配的XSS
- CAPEC-588: 基于DOM的XSS
- CAPEC-591: 反射型XSS
- CAPEC-592: 存储型XSS
我们扫描GitHub仓库以检测新的概念验证漏洞利用程序。以下列表是已在GitHub上发布的公共漏洞利用程序和概念验证的集合(按最近更新排序)。由于潜在的性能问题,结果限制在前15个仓库。
以下列表是提及CVE-2026-22704漏洞的新闻报道。由于潜在的性能问题,结果限制在前20篇新闻文章。
以下表格列出了CVE-2026-22704漏洞随时间发生的变化。漏洞历史详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 新CVE接收 | 通过 security-advisories@github.com | 2026年1月10日 |
|---|---|---|
| 操作 | 类型 | 旧值 |
| 已添加 | CVSS V3.1 | | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H | | 已添加 | CWE | | CWE-79 | | 已添加 | 参考 | | https://github.com/haxtheweb/haxcms-nodejs/releases/tag/v25.0.0 |
EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史记录。
跨站脚本
漏洞评分详情
CVSS 3.1
基础CVSS分数:8.0
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 高 | 低 | 必需 | 已更改 | 高 | 高 | 高 |